eidas et EBIOS JM Rietsch Ingénieur civil des Mines Expert international en dématique Chargé de cours à Mines ParisTech et à l université de Luxembourg Fondateur de FedISA EBIOS EIDAS 2016 1
Quelques réalisations Missions Mise en place archivage des e-mails pour l ensemble des offices notariaux d Ile de France avec la Chambre des Notaires de Paris. Elaboration d un référentiel (PSDC) pour le Grand Duché du Luxembourg Développement de la carte d identité électronique monégasque (CIME) au format ECC (European Citizen card) Participation à la dématérialisation des établissement du groupe RGDS (Ramsay Générale de Santé) Formations sous la marque Demateus A l origine dès 2008 d un mastère sous forme de deux BADGEs avec MinesParistech, Management de la démat et de l archivage électronique, management du patrimoine informationnel Mise en œuvre de formations certifiantes sur la dématique Développement d une méthode technico-juridique originale, d analyse des risques des processus dématérialisés, en collaboration avec Isabelle Renard, avocat EBIOS EIDAS 2016 2
Plan de la présentation 1. Rappel des principaux objectifs eidas 2. Ce qu il faut en retenir 3. eidas et EBIOS 4. Approche utilisateurs EBIOS EIDAS 2016 3
Rappels eidas EBIOS EIDAS 2016 4
Principaux objectifs Assurer l interopérabilité au sein des Etats membres Fournir des services de confiance avec une sécurité juridique élevée Garantir la confidentialité et la sécurité des traitements / données personnelles Disposer d un niveau de confiance et de sécurité, adapté au degré de risque identifié EBIOS EIDAS 2016 5
L organisation du règlement européen Règlement eidas eid Services de confiance Reconnaissance mutuelle Signature Validation Conservation Cachet Validation Conservation Authentificat Sites Horodatage Recommandé Electronique EBIOS EIDAS 2016 6
A19 Exigences de sécurité applicables aux prestataires de services de confiance Les PSCQ et PSCnQ prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu'ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Niveau de sécurité adapté au besoins (risques identifiés) EBIOS EIDAS 2016 7
A19 Exigences de sécurité applicables aux prestataires de services de confiance (suite) Les PSCQ et PSCnQ notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l'organe de contrôle et, le cas échéant, à d'autres organismes concernés, tels que l'organisme national compétent en matière de sécurité de l'information ou l'autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées. Obligation de déclarer toute atteinte à la sécurité à l organe de contrôle national et le cas échéant: personne physique ou morale, autres organes de contrôle, ENISA, public. EBIOS EIDAS 2016 8
A23 Label de confiance de l'union pour les services de confiance qualifiés Lorsque le statut qualifié est sur la liste de confiance, les PSCQ peuvent utiliser le label de confiance de l'union. PSCQ veille à ce qu un lien vers la liste de confiance concernée soit disponible sur leur site internet Affichage d un label facilement reconnaissable EBIOS EIDAS 2016 9
Citoyens Entreprises Autorités publiques So what? EBIOS EIDAS 2016 10
Ce qu il faut en retenir Simplification, un organe de contrôle, moins d obstacles administratifs, accent sur la présomption de fiabilité, seule va subsister la partie homologation du RGS Clarté, totale équivalence du numérique et du «papier», différence entre signature et cachet électronique Interopérabilité: Outils (authentification en ligne, signature et cachet, ) Services (appels d offres, santé, ) Existence d un véritable statut pour les PSCO (label) Sécurité adaptée Généralisation d une identité numérique forte et partagée Importance de la transversalité: technique juridique - organisationnel EBIOS EIDAS 2016 11
EBIOS niveaux de services de confiance Importance de la prise en compte de la transversalité des processus numériques EBIOS EIDAS 2016 12
Critères sécuritaires Système Archivage Electronique intégrité «technique» confidentialité traçabilité (globale système et cycle de vie des informations) pérennité : disponibilité dans le temps lisibilité (capacité à relire «physiquement») Intelligibilité (capacité à interpréter les éléments conservés) EBIOS EIDAS 2016 13
Intégrité Besoins en matière d intégrité Note Pas de besoin particuliers en matière d intégrité 1 Perte d intégrité tolérée mais doit être détectée et signalée Perte d intégrité tolérée mais doit être détectée et corrigée 2 3 Aucune perte d intégrité tolérée 4 EBIOS EIDAS 2016 14
Confidentialité Type de confidentialité Note Commentaire Données publiques 1 Ces informations sont destinées à être largement diffusées Elles ne font l objet d aucune protection de confidentialité particulière. Données à diffusion restreintes 2 Données confidentielles 3 La divulgation de telles informations est susceptible d entraîner des préjudices pour l organisme propriétaire des données, sans le mettre directement en péril. La divulgation de ces informations peut entraîner des préjudices graves pour l organisme propriétaire. Ces informations sont soumises à des règles de protection particulièrement rigoureuses. Données très confidentielles 4 La divulgation de cette information pourrait causer un dommage exceptionnellement grave allant jusqu à la disparition de l organisme dont elle émane. EBIOS EIDAS 2016 15
Traces Note Besoins / cycle de vie des données/documents 1 Action système technique et fonctionnel 2 Actions tracées : - Versement - Suppression - Changement de durée de conservation - Restitution - Conversion (changement de format logique) - Migration (changement de support) Conservation sécurisée (chainage des journaux) 3 4 Actions tracées : ajout de la consultation Conservation sécurisée (chainage des journaux) Horodatage externe Restitution possible pour chaque donnée/document EBIOS EIDAS 2016 16
Pérennité (disponibilité, durée, lisibilité, intelligibilité) Pérennité - disponibilité Note Dans l heure, jusqu à 5 ans 1 Dans les 4 heures, de 5 à 10 ans 2 Dans la journée, de 10 ans à 30 ans 3 Dans la semaine, ad vitam aeternam 4 EBIOS EIDAS 2016 17
Archivage électronique Proposition des niveaux de confiance Niveau d archivage Pérennité disponibilité lisibilité intelligibilité Intégrité Confidentialité Trace Simple 1/2 2 1 2 Avancé faible 2 2 2 3 Avancé fort 3 3 2/3 4 Qualifié 4 3/4 3/4 4 EBIOS EIDAS 2016 18
Analyse EBIOS EBIOS EIDAS 2016 19
Biens essentiels Biens essentiels P I C T Niveau 4 Qualifié / données des clients 4 3/4 3/4 4 Niveau 3 Avancé fort / données des clients 3 3 2/3 3 Niveau 2 Avancé faible / données des clients 2 2 2 3 Niveau 1 Simple / données des clients 1/2 2 1 2 Paramètres clients 4 3 2 2 Journaux 3 3 2 1 Documents de conception, sources des logiciels 3 2 2 1 Documents d exploitation 4 2 2 1 Politiques, déclarations 1 2 2 1 EBIOS EIDAS 2016 20
Approche utilisateurs par les risques Vision données/documents EBIOS EIDAS 2016 21
Classifier ses données/documents Vital - Risque 4 Critique - Risque 3 Sensible - Risque 2 Standard - Risque 1 Volumétrie EBIOS EIDAS 2016 22
Critères sécuritaires / documents Aide à la classification confidentialité traçabilité (cycle de vie) pérennité : Disponibilité-accessibilité intelligibilité authenticité : intégrité «contenu informationnel» (autorise la conversion de format et la perte d intégrité «technique») origine (imputabilité) date EBIOS EIDAS 2016 23
Niveau de risque / document Niveau de risque Confidentialité Traçabilité Pérennité Authenticité 1 1/2 2 1 2 2 2 2 2 3 3 3 3 2/3 4 4 4 3/4 3/4 4 EBIOS EIDAS 2016 24
Mise en œuvre EBIOS EIDAS 2016 25
Signature électronique Expression des besoins Niveau de risque Type de signature Niveau de signature Dispositifs à mettre en place Certificat Dispositif création PSCO PSCO Q 1 Simple Sans Sans 2 EN 319 411 part 3 LCP Avancée «faible» A clé Sans 2 publique EN 319 411 part 3 NCP 3 Secure User Device Avancée «fort» 3 Qualifié Sans EN 319 411 part 3 NCP+ EN 319 411 part 2 4 Qualifiée SSCD Qualifié 4 Qualifiée SSCD Qualifié N/A EN 319 411 part 2 EBIOS EIDAS 2016 26
Archivage électronique Expression de besoins Choix du type d archivage Dispositifs à mettre en place Information (niveau risque) Niveau d archivage Pérennité Intégrité Confidentialité Trace 1 Simple 1/2 2 1 2 2 Avancé faible 2 2 2 3 3 Avancé fort 3 3 2/3 4 4 Qualifié 4 3/4 3/4 4 EBIOS EIDAS 2016 27
Merci pour votre attention Q & R EBIOS EIDAS 2016 28